So richten Sie GPOs zum Synchronisieren mit NTP-Servern ein

Warum es wichtig ist, dass alle Uhren gleich gehen

Das Windows Kerberos-Protokoll ist für die Authentifizierungsfunktionen auf die Synchronisierung der Computeruhr angewiesen. Wenn die Systemuhren um mehr als ein paar Minuten aus dem Takt geraten, funktioniert Kerberos nicht mehr, was zum Ausfall aller Dienste führt, die von Kerberos abhängen. Ein Computer, dessen Uhr falsch eingestellt ist, kann beispielsweise nicht mehr einer Active-Directory-Domäne beitreten.

Zeitverschiebungen verursachen bei Datenbankanwendungen und Ereignisprotokollen Probleme, selbst wenn Kerberos nicht beteiligt ist. Die Zeitverschiebung kann sich auf zeitabhängige Transaktionen auswirken, die den Anschein erwecken, dass Ereignisse in einer anderen Reihenfolge als der tatsächlichen Zeit aufgetreten sind.

Wie man Computeruhren synchron hält

Der beste Weg, um sicherzustellen, dass die Uhren von Windows-Rechnern korrekt gehen, ist die Nutzung des Network Time Protocol (NTP), das die Uhren mit einer einheitlichen, maßgeblichen Zeitquelle synchronisiert.

In einer Active-Directory-Umgebung synchronisieren die der Domäne beigetretenen Windows-Desktops und -Server ihre Uhren automatisch mit dem Domänencontroller, der sie in Active Directory authentifiziert hat. Dieser Domänencontroller wiederum synchronisiert seine Uhr mit dem Emulator des primären Domänencontrollers (PDC). In einer Multi-Domänen-Umgebung synchronisieren die PDC-Emulatoren ihre Uhren mit dem Forest Root Operations Master. Daher sollten alle Computer in einer Active-Directory-Domäne automatisch auf die gleiche Zeit eingestellt werden. Es ist zwar möglich, alle Windows-Rechner mit einer Zeitquelle außerhalb der Domäne zu synchronisieren, zum Beispiel einem Router oder einem externen NTP-Server, doch der Domänencontroller sollte auf jeden Fall die erste Wahl sein.

Wenn die Uhr auf dem Domänencontroller, der an der Spitze der Active-Directory-Hierarchie steht, falsch eingestellt ist, überträgt sich die falsche Einstellung auf alle anderen Computer innerhalb der Active-Directory-Umgebung. Der beste Weg, dieses Problem zu vermeiden, ist die Synchronisierung Ihres Domänencontrollers mit einer externen Zeitquelle.

Anfänglich ist sogar Ihr Stammdomänencontroller so konfiguriert, dass er nur die lokale Zeitsynchronisierung verwendet. Sie können dies überprüfen, indem Sie ein Eingabeaufforderungsfenster öffnen und den folgenden Befehl eingeben:

W32tm /query /configuration

W32tm ist das Dienstprogramm, das der Konfiguration und Fehlerbehebung des Windows-Zeitdienstes dient. Der Befehl führt eine Abfrage für zeitbezogene Statistiken durch. Abbildung 1 zeigt die Konfiguration eines Stammdomänencontrollers.

In Abbildung 1 ist im Abschnitt NTPClient der Typ auf NT5DS (Lokal) eingestellt. In der Vergangenheit erforderte die Synchronisierung der Uhr des Stammdomänencontrollers mit einem externen Zeitserver Änderungen in der Windows-Registry; inzwischen sollten Sie lieber Änderung über eine Gruppenrichtlinieneinstellung vornehmen.

Öffnen Sie dazu den Server Manager und wählen Sie die Option Gruppenrichtlinienverwaltung aus dem Menü Extras. Wenn sich die Konsole für die Gruppenrichtlinienverwaltung öffnet, wählen Sie den Ordner Domänencontroller. Klicken Sie mit der rechten Maustaste auf die Richtlinie Default Domain Controllers (Standard-Domänencontroller) – oder die auf den Domänencontrollern verwendete Richtlinie – und wählen Sie den Befehl Bearbeiten aus dem Kontextmenü. Navigieren Sie in der Konsolenstruktur zu Computerkonfiguratio, Richtlinien, Administrative Vorlage, System, Windows-Zeitdienst und Zeitanbieter.

Doppelklicken Sie auf die Einstellung Windows-NTP-Client konfigurieren. Aktivieren Sie im Dialogfeld die Einstellung und setzen Sie das Feld Type auf NTP. Geben Sie die folgende Zeile ein, um das Feld NTP-Server mit den NTP-Servern zu füllen:

0.de.pool.ntp.org, 0x1 1.de.pool.ntp.org, 0x1 0.de.pool.ntp.org, 0x1 2.de.pool.ntp.org, 0x1 3.de.pool.ntp.org, 0x1

Setzen Sie nun Ihre Richtlinienänderung durch und starten Sie dann den Windows-Zeitservices mit den folgenden Befehlen von einem PowerShell-Fenster aus neu:

GPUpdate /force

Restart-Service W32Time

Die Konfigurationsänderungen sollten sicherstellen, dass die Uhren auf den in Active Directory eingetragenen Windows-Rechnern genau gehen. Es kann ein paar Minuten dauern, bis die Einstellungen in der Umgebung zirkulieren.

Kehren Sie zum Eingabeaufforderungsfenster zurück und führen Sie die W32tm-Abfrage aus; die NTP-Server-Liste sollte die Änderungen widerspiegeln. Abbildung 3 zeigt beispielsweise, dass der Typ im Abschnitt NTPClient in NTP (lokal) geändert wurde und dass es jetzt einen NTP-Server-Eintrag gibt und welche Server nun genutzt werden, um die Uhrzeit vorzugeben.

Beheben von Problemen mit externen NTP-Servern

Wenn sich die Windows-Uhren nicht mit einer Zeitquelle synchronisieren lassen, führen Sie die folgenden Prüfungen durch:

• Stellen Sie sicher, dass der UDP-Port 123 in der Firewall geöffnet ist, damit der NTP-Datenverkehr passieren kann.
• Stellen Sie sicher, dass die Virtualisierungs-Hosts die Zeit vom selben Zeitserver beziehen. Virtuelle Maschinen erhalten ihre Zeit oft vom Virtualisierungs-Host.
• Stellen Sie sicher, dass die Clients die Domänennamen der Zeitserver auflösen können.
• Vergewissern Sie sich, dass ein gültiger Kommunikationspfad zwischen dem Client und dem Zeitserver besteht.